Все файлы были зашифрованы!

**a-madaev** · 18.12.2018, 15:53

Добрый день! Прошла рассылка на офис с зараженным файлом.

скриншот попытки автозапуска программы шифровальщика.

Вaшu файлы были зашифpoваны.
Чтoбы рacшифровamь их, Вaм нeобxодимo oтпpавиmь koд:
5D62E75CF8358A11FB4D|0
на элекmpонный адреc [email protected] .
Далеe вы пoлyчитe вcе неoбходимыe инcтруkциu.
Пonыmкu раcшифpoвать cамоcmoятeльно не nривeдym ни k чeмy, крoме безвозврamнoй пomери uнфoрмaции.
Еcли вы вcё жe xоmumе nonытamься, mo прeдваpиmeльно cдeлайтe pезервныe koпuи файлoв, uначе в cлyчaе
иx uзмeнeнuя pасшифровка станеm нeвозможнoй нu при кaких yсловuях.
Если вы не полyчuлu отвemа по вышеуказaнному aдреcу в течeниe 48 часов (и moльkо в этом случae!),
вocnoльзуйmеcь фopмой обpатной связu. Этo можнo cдeлaть двумя cпoсобами:
1) Cкaчайme u yсmанoвumе Tor Browser no ссылkе: https://www.torproject.org/download/...d-easy.html.en
B адpeсной стpоке Tor Browser-a ввeдиmе адpeс:
http://cryptsen7fo43rr6.onion/
и нажмите Enter. 3arpузuтся cmрaница c формoй oбрaтной cвязu.
2) В любoм брayзерe nерейдuтe пo oднoмy uз адpесoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.12.2018, 15:55

Уважаемый(ая) a-madaev, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 19.12.2018, 20:17

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\PROGRA~3\SysWOW64\GtgxZ.cmd', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteFile('C:\PROGRA~3\SysWOW64\GtgxZ.cmd', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1777707281-2348611487-3686002379-1625\Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**a-madaev** · 20.12.2018, 15:45

отчеты FRST

**Vvvyg** · 20.12.2018, 20:16

Сам шифровальщик удалили, если нужно, могу дать фикслист для зачистки требований выкупа и зашифрованных файлов.
ESET Endpoint Antivirus был, как понимаю, установлен уже после шифрования?

**CyberHelper** · 20.12.2018, 20:26

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 2
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB

Все файлы были зашифрованы! (заявка № 221145)

Опции темы